PowerExchange-malware
En nylig identifisert skadelig programvare kalt PowerExchange har dukket opp i angrepsoperasjoner. Denne nye bakdøren bruker PowerShell som sitt primære skriptspråk. Skadevaren ble brukt til å etablere bakdører på lokale Microsoft Exchange-servere. Angrepshendelsene som involverer trusselen kan være knyttet til APT34 (Advanced Persistent Threat) iranske statshackere.
Angrepsvektoren brukt av trusselaktørene involverte infiltrering av den målrettede e-postserveren gjennom en phishing-e-post. E-posten inneholdt et komprimert arkiv med en kompromittert kjørbar fil. Så snart PowerExchange ble utført, ble det distribuert, noe som gjorde det mulig for hackerne å få uautorisert tilgang og kontroll over de kompromitterte Microsoft Exchange-serverne. Deretter bruker trusselaktørene også et web-skall sporet som ExchangeLeech, som først ble avdekket i 2020, noe som gjør dem i stand til å eksfiltrere sensitive data, primært med fokus på tyveri av brukerlegitimasjon lagret på de kompromitterte Microsoft Exchange-serverne.
Bruken av PowerExchange malware, sammen med ExchangeLeech Web shell, demonstrerer den sofistikerte taktikken som brukes av APT34 i deres truende aktiviteter. PowerExchange-bakdøren ble oppdaget av et forskerteam på de kompromitterte systemene til en statlig organisasjon basert i De forente arabiske emirater.
Innholdsfortegnelse
PowerExchange-malware utnytter offerets Exchange-server
PowerExchange-malwaren etablerer kommunikasjon med Command-and-Control-serveren (C2) for angrepsoperasjonen. Den utnytter e-poster sendt gjennom Exchange Web Services (EWS) API, ved å bruke tekstvedlegg i disse e-postene for å sende innsamlet informasjon og motta base64-kodede kommandoer. Disse e-postene prøver å unngå å tiltrekke seg ytterligere gransking av offeret ved å bære emnelinjen "Oppdater Microsoft Edge."
Bruken av offerets Exchange-server som C2-kanal er en bevisst strategi brukt av trusselaktørene. Denne tilnærmingen lar bakdøren gli inn i legitim trafikk, noe som gjør det svært vanskelig for nettverksbaserte deteksjons- og utbedringsmekanismer å identifisere og dempe trusselen. Ved å kamuflere sine aktiviteter innenfor organisasjonens infrastruktur, kan trusselaktørene effektivt unngå oppdagelse og opprettholde en skjult tilstedeværelse.
PowerExchange-bakdøren gir operatørene omfattende kontroll over de kompromitterte serverne. Det gjør dem i stand til å utføre ulike kommandoer, inkludert levering av ytterligere truende nyttelaster til de kompromitterte serverne og eksfiltrering av innhentede filer. Denne allsidigheten gir trusselaktørene mulighet til å utvide sin rekkevidde og utføre ytterligere skadelige aktiviteter i det kompromitterte miljøet.
Ytterligere truende implantater utplasseres som en del av PowerExchange-bakdørsangrepene
Ytterligere kompromitterte endepunkter som inneholdt forskjellige andre usikre implantater er også identifisert. Spesielt var et av de oppdagede implantatene ExchangeLeech Web-skallet, som hadde blitt forkledd som en fil kalt System.Web.ServiceAuthentication.dll, som tok i bruk navnekonvensjonene som vanligvis er knyttet til legitime IIS-filer.
ExchangeLeech opererer ved å aktivt samle inn sensitiv informasjon, spesifikt rettet mot brukernavn og passord til enkeltpersoner som logger på de kompromitterte Exchange-serverne ved hjelp av grunnleggende autentisering. Dette oppnås gjennom web-skallets evne til å overvåke klartekst HTTP-trafikk og fange opp legitimasjon fra nettskjemadata eller HTTP-hoder.
For å utnytte de kompromitterte serverne ytterligere, kan angriperne instruere web-skallet til å overføre de innsamlede legitimasjonsloggene via informasjonskapselparametere. Dette lar dem i det skjulte eksfiltrere de fangede legitimasjonene uten å vekke mistanke.
PowerExchange-angrepene tilskrives APT34 Hacker Group
PowerExchange-angrepene har blitt tilskrevet den iranske statsstøttede hackergruppen kjent som APT34 eller Oilrig. Forskerne opprettet denne forbindelsen ved å identifisere slående likheter mellom PowerExchange malware og TriFive malware som tidligere ble brukt av APT34 for å etablere bakdører innenfor kuwaitiske regjeringsorganisasjoners servere.
Både PowerExchange og TriFive viser bemerkelsesverdige likheter. De er begge basert på PowerShell, aktivert gjennom planlagte oppgaver, og utnytter organisasjonens Exchange-server ved å bruke EWS API som C2-kanal. Selv om koden til disse bakdørene er tydelig forskjellig, spekulerer forskerne at PowerExchange representerer en utviklet og forbedret iterasjon av TriFive malware.
Videre er det verdt å nevne at APT34 konsekvent bruker phishing-e-poster som en første infeksjonsvektor for angrepsoperasjonene deres. Ved å lokke ofre til å samhandle med usikkert innhold eller klikke på ødelagte lenker i disse e-postene, får APT34 fotfeste i det målrettede miljøet, slik at de kan fortsette med sine truende aktiviteter. Det faktum at APT34 tidligere har krenket andre enheter i De forente arabiske emirater legger til bevisene som knytter dem til disse angrepene.
